OpenBao 2.4.x 分支发现可被利用的加密漏洞 GO-2026-4550

OpenBao 项目的一个长期支持分支中，发现了一个可被利用的加密漏洞，直接威胁到其核心的密钥管理功能。安全扫描工具 govulncheck 在 `openbao/openbao` 代码库的 `release/2.4.x` 分支中，确认了编号为 GO-2026-4550 的漏洞是“可触达的”。这意味着攻击者有可能通过特定路径触发该漏洞，从而影响系统的加密操作。该漏洞源于两个关键的底层依赖库：`github.com/ProtonMail/[email protected]` 和 `github.com/cloudflare/[email protected]`。

具体而言，漏洞存在于 Cloudflare 的 CIRCL 密码学库中，涉及 secp384r1 椭圆曲线的 CombinedMult 函数存在计算错误。这一底层缺陷直接波及了 OpenBao 中负责 PGP 密钥加密和解密的核心模块。受影响的代码位置非常关键，主要集中在 `helper/pgpkeys/encrypt_decrypt.go` 文件中的 `DecryptBytes` 和 `EncryptShares` 函数，以及初始化密钥管理系统的 `vault/seal.go:23` 的 `init` 函数。这些函数是处理秘密共享和加密数据的基础，漏洞的存在意味着在特定条件下，加密操作的完整性和正确性可能无法得到保证。

对于依赖 OpenBao 2.4.x 版本进行秘密管理和数据保护的用户与组织而言，这是一个需要立即关注的安全风险。虽然漏洞的修复版本（CIRCL v1.6.3）已经存在，但关键在于需要将修复同步到 OpenBao 的代码库中并发布更新。在官方补丁发布之前，运行此版本的系统其加密屏障存在已知的理论弱点，可能成为潜在攻击的切入点。维护团队需要评估其部署环境，并密切关注上游仓库的修复与合并状态。